Читаем Хитрости Windows 7. Для профессионалов - 2011 полностью

I Запрещающие флажки важнее разрешающих. Предположим, пользователь с име* 4Г%, I нем Surly входит в группу Duff. Если запретить группе Duff доступ иа чтение определенных файлов, но разрешить читать их пользователю Surly, то этот пользователь все равно не сможет читать файлы.

В зависимости от типа выбранного объекта, в нижнем поле могут быть перечислены различные варианты разрешений: Полный доступ (Full Control), Чтение (Read), Запись (Write) и Изменение (Modify). Попробовав разные сочетания флажков, вы заметите, что некоторые из них лишние. Например, Изменение (Modify) объединяет в себе разрешения Чтение и выполнение (Read & Execute), Чтение (Read) и Запись (Write).

Для того чтобы получить больший контроль над разрешениями, нажмите Дополнительно (Advanced). Откроется окно Дополнительные параметры безопасности (см. рис. 7.5). Выберите нужного пользователя и нажмите Изменить разрешения (Edit). В окне Элемент разрешения (Permission Entry), показанном на рис. 7.7, можно детально настроить разрешения, дав пользователю только те права, которые ему действительно необходимы. В большинстве случаев, однако, хватает настройки обычных разрешений.

Установив желаемые параметры, нажмите ОК. Если вы настраивали разрешения для папки, возможно, появится диалоговое окно с вопросом, нужно ли применить сделанные изменения к подпапкам и файлам.

Влияние разрешений на программы

Обычно разрешения устанавливаются для защиты файлов и папок от несанкционированного доступа. Однако иногда их необходимо настраивать, чтобы определенные программы могли работать.

Например, в Windows 7 эта схема реализована в системе контроля учетных записей, о которой пойдет речь в разделе «Управление UAC». Именно поэтому программы, написанные без учета особенностей Windows 7 или Vista, не знают, что в папку Program Files нельзя записывать файлы.

Разрешения можно задавать в том числе и для защиты определенных ключей реестра. Об этом рассказывается в разделе «Заблокируйте свои типы файлов».

Шифрование файлов

Когда речь идет об особо ценных данных, шифрование добавляет еще один уровень защиты, гарантируя, что файл сможет прочитать только его создатель. Если любой другой пользователь — даже имеющий привилегии администратора — попробует открыть такой файл, он увидит или бессмысленный набор символов, или вообще ничего. Другими словами, ваши зашифрованные данные прочитать невозможно, если только вы не работаете в системе под своей учетной записью.

ШИФРОВАНИЕ ЦЕЛОГО ДИСКА С ПОМОЩЬЮ BITLOCKER

Шифрование файлов и папок в Windows 7 — это удобный способ защиты конфиденциальных данных, но если хранить на одном диске зашифрованные и незашифрованные данные, это может привести к непредсказуемым результатам, как написано в разделе «Шифрование файлов». Однако владельцы версий Windows 7 Ultimate и Enterprise могут решить эту проблему, воспользовавшись преимуществами инструмента шифрования диска BitLocker.

BitLocker помещает все данные на диске в один огромный архив и обращается к нему как к виртуальному жесткому диску. В Проводнике Windows вы обращаетесь к зашифрованным с помощью BitLocker файлам как к любым другим данным — Windows выполняет шифрование и дешифрование незаметно для вас в фоновом режиме. Большое преимущество BitLocker в том, что он шифрует файлы Windows и все системные файлы, и это значительно затрудняет взлом вашего пароля и несанкционированный доступ в систему. Кроме того, когда шифруется весь диск, шифровать файлы по отдельности не требуется.

Чтобы зашифровать диск, откройте страницу Шифрование диска BitLocker (BitLocker Drive Encryption) на Панели управления. Если отображается ошибка ТРМ не найден (TPM was not found), проверьте, есть ли для вашего компьютера обновление BIOS с поддержкой ТРМ.

TPM, Trusted Platform Module (модуль доверенной платформы), — это микросхема на материнской плате, в которой хранится ключ шифрования BitLocker. Благодаря ей компьютер может загружаться с зашифрованного диска. Если BIOS не поддерживает ТРМ, то в качестве такой микросхемы можно использовать обычный USB-диск. Откройте Редактор локальной групповой политики (Group Policy Object Editor) (для этого нужно щелкнуть на кнопке Пуск и выполнить команду gpedit.msc), а затем разверните ветвь Конфигурация компьютера\Административные шаблоны\Компоненты Windows\ll^poBaHMe диска BitLocker (Computer Configuration\Administrative Templates\ Windows Components\BitLocker Drive Encryption). На правой панели дважды щелкните на записи Панель управления: включить дополнительные параметры запуска (Control Panel Setup: Enable advanced startup options), щелкните Включить (Enabled), установите флажок Разрешить использовать BitLocker без совместимого ТРМ (Allow BitLocker without a compatible ТРМ) и нажмите ОК.